Muitas empresas usam a plataforma Power App da Microsoft, e dados confidenciais de 38 milhões de registros foram deixados expostos ao público por meses, graças às fracas configurações de segurança padrão.
Uma pesquisa conduzida pela Upguard mostrou que um número preocupante de usuários do Power App não estava protegendo seus bancos de dados. Uma investigação mais aprofundada revelou que esse problema foi criado por configurações de segurança padrão fracas, deixando os dados expostos se os usuários não realizassem nenhuma ação manual.
De acordo com um relatório da Wired, dados foram deixados exposto de fontes como American Airlines, Ford, escolas públicas da cidade de Nova York e bancos de dados de rastreamento de contatos COVID-19 de vários estados. A descoberta inicial do Upguard foi feita em maio de 2021, mas uma correção da Microsoft não foi totalmente implementada até agosto.
“Encontramos um deles que estava configurado incorretamente para expor dados e pensamos, nunca ouvimos falar disso, é algo isolado ou é um problema sistêmico?”diz Greg Pollock, vice-presidente de pesquisa cibernética da UpGuard.”Devido à forma como o produto de portais Power Apps funciona, é muito fácil fazer uma pesquisa rapidamente. E descobrimos que há toneladas deles expostos. Foi incrível.”
O Upguard começou a investigar um grande número de portais de Power App que deveriam ser privados-até mesmo os aplicativos feitos pela Microsoft estavam configurados incorretamente. No entanto, apesar de estar aberto ao público, nenhum dos dados foi comprometido.
O cerne do problema está nas configurações de segurança padrão. Por exemplo, ao configurar o Power App e conectar APIs, a plataforma padronizou para tornar os dados correspondentes acessíveis publicamente.
Graças a uma atualização em agosto, o Power Apps terá como padrão as configurações seguras para manter os dados privados. A Upguard fez um esforço para se comunicar com plataformas com dados confidenciais deixados em aberto, mas a escala do problema de segurança era muito ampla para ser considerada por todos os negócios.
“As configurações padrão seguras são importantes”, diz Kenn White, diretor do Open Crypto Audit Project.”Quando um padrão surge em sistemas voltados para a web construídos usando uma tecnologia específica que continua a ser mal configurada, algo está muito errado. Se os desenvolvedores de diversos setores e experiências técnicas continuarem a dar os mesmos passos em falso em uma plataforma, o foco deve ser diretamente o construtor dessa plataforma.”
Os dados expostos incluíram várias plataformas de rastreamento de contatos Covid-19, inscrições de vacinação, portais de candidatura a empregos e bancos de dados de funcionários. Qualquer coisa, desde números de previdência social a nomes e endereços, foram deixados em bancos de dados abertos.
Novamente, Upguard diz que nenhum dos dados está comprometido.
O problema de configurações de segurança do Microsoft Power App ecoa muitos problemas de outras plataformas neste setor. Empresas como Amazon e Google frequentemente lidam com configurações padrão fracas que levam à exposição de dados.
